GB/Z 30286-2013
基本信息
标准号: GB/Z 30286-2013
中文名称:信息安全技术 信息系统保护轮廓和信息系统安全目标产生指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:3555KB
相关标签: 信息安全 技术 信息系统 保护 轮廓 安全 目标 产生 指南
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/Z 30286-2013 信息安全技术 信息系统保护轮廓和信息系统安全目标产生指南
GB/Z30286-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准化指导性技术文件GB/Z30286-2013
信息安全技术
信息系统保护轮廓和信息系统安全目标产生指南
Information security technology-Guide for the production of information systemprotect profile and information system security target2013-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-07-15实施
规范性引用文件
3术语和定义
ISPP和ISST概述
ISPP和ISST的用途
ISPP和ISST的内容
ISPP和ISST的目标读者
5ISPP和ISST的产生过程
6ISPP和ISST的措述部分
ISPP和ISST标识
ISPP和ISST概述
ISPP应用注解
信息系统捷述
信息系统使命描述
信息系统概要描述
信息系统详细措述
安全保障需求
识别和说明假设
识别和说明威胁
识别和确定组织安全策略
明确安全保障需求定义…
安全保障目的·
概述...
威胁、假设和组织安全策略的列表信息系统环境保障目的
信息系统安全保障目的
10安全保障要求
安全技术保障要求
安全管理保障要求
............
GB/Z30286-2013
GB/Z30286-—2013
10.4ISPP或ISST中的安全工程保障要求11信息系统概要规范
信息系统概要规范概述
安全保障措施的选择
12ISPP声明
ISPP引用
ISPP裁剪
ISPP附加项
13符合性声明
安全保障目的的符合性声明
安全保障要求的符合性声明
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
参考文献…
从GB/T20274.2-2008选取STRs
从GB/T20274.3-2008选取SMRs
从GB/T20274.4—2008选取SERs
本指导性技术文件按照GB/T1.1-2009给出的规则起草。GB/Z30286—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本指导性技术文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本指导性技术文件主要起草单位:中国信息安全测评中心、中国信息安全测评中心华中测评中心,华北计算技术研究所,
本指导性技术文件主要起草人:江常青、张利、姚轶辨、修鑫、彭勇、陆丽、胡卫华、付敏、周瑾、-iiKacaQiaiKAca=
GB/Z30286—2013
本指导性技术文件是GB/T20274《信息安全技术信息系统安全保障评估框架》系列标准的配套指南文件,为信息系统保护轮廓(Information SystemProtectProfile,ISPP)和信息系统安全目标(InformationSystemSecurityTarget,ISST)的编制提供指导。本指导性技术文件的使用者应熟悉GB/T20274系列标准。N
1范围
信息安全技术
信息系统保护轮廓和信息系统安全目标产生指南
GB/Z30286—2013
本指导性技术文件给出了编制信息系统保护轮廊(ISPP)和信息系统安全目标(ISST)的过程,为编写ISPP和ISST提供指导。
本指导性技术文件适用于应用GB/工20274系列标准进行信息系统安全性保障评估的评估者和确认评估者行为的认证者、系统开发者等。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型GB/T20274.2—2008
GB/T20274.3—2008
信息安全技术
信息安全技术
GB/T20274.4-2008信息安全技术信息系统安全保障评估框架第2部分:技术保障信息系统安全保障评估框架第3部分:管理保障信息系统安全保障评估框架第4部分:工程保障GB/T209842007
信息安全技术信息安全风险评估规范3术语和定义
GB/T20274.12006.GB/T20274.22008.GB/T20274.3-2008.GB/T20274.4—-2008界定的术语和定义适用于本文件
4ISPP和ISST概述
4.1ISPP和ISST的用途
GB/T20274系列标准的主要用途是表达信息系统的安全保障要求。信息系统有许多不同的种类,每个信息系统运行于特定的现实环境中,受到来自于组织内部与外部环境的约束。因此对于不同的信息系统,通常有不同的安全保障要求GB/T20274.1一2006中用ISPP和ISST来表达某一类信息系统和某一个特定信息系统的安全保障要求。信息系统的所有者运用ISPP来描述某一类信息系统标准化、结构化和规范化的安全保障需求,信息系统的开发者依据ISPP针对特定的信息系统编制相应的ISST,描述其特定用户系统的安全保障需求以及对ISPP的满足情况。4.2ISPP和ISST的内容
GB/T20274.1一2006的图A.1描了ISPP中所要求的内容条目。表1是推荐使用的ISPP样本iiKacaQiaiKAca-
GB/Z30286-2013
目录清单结构。GB/T20274.1-2006的图B.1中描述了ISST所要求的内容条日。表2是推荐使用的ISST样本目录清单结构。
表1安全保护轮廓样本目录清单
ISPP描述
1.1ISPP标识
1.2.1SPP概述
信息系统描述
2.1信息系统使命描述
2.2信息系统概要描述
2.3信息系统详细捕述
安全保障需求
3.1识别和说明假设
3.2识别和说明威
3.3识别和确定组织安全策略
安全保障目的
4,1信息系统安全技术保障目的
4.2信息系统安全管理保障目的
4.3信息系统安全工程保障目的
安全保障要求
5.1信息系统安全保障要求
5.2信息系统安全技术保障要求
5.3信息系统安全管理保障要求
5.4信息系统安全工程保障要求免费标准下载网bzxz
ISPP应用注解
符合性声
7.1安全目的符合性声明
7.2安全要求符合性声明
目录结构
表2安全目标样本目录清单
日录结构
ISST播述
1.1ISST标识
1.2ISST概述
信息系统描述
2.1信息系统使命描述
2.2信息系统概要描述
2.3信息系统详细描述
安全保障需求
3.1识别和说明假设
3.2识别和说期戏助
表2(续)
日录结构
.3识别和确定组织安全策路
安全保障目的
4.1信息系统安全技术保障日的
4.2信息系统安全管理保障日的
4.3信息系统安全工程保障目的
安全保障要求
5.1信息系统安全保障要求
5.2信息系统安全技术保障要求
5.3信息系统安全管理保障要求
5.4信息系统安全工程保障要求
信息系统概要规范
6.1信息系统安全保障要求
6.2信息系统安全技术保障
6.3信息系统安全管理保障
6.4信息系统安全工程保障
ISPP声明
7.1ISPP引用
7.2ISPP剪载
7.3ISPP附加项
符合性声明
8.1安全日的符合性声明
8.2安全要求符合性声明
GB/Z30286—2013
ISPP或ISST的描述部分标识了ISPP或ISST的信息系统,并概要描述了ISPP或ISST,ISPP概述可以被ISPP文档的编目和注册引用。信息系统描述提供了信息系统(或信息系统类型)的一般信息,帮助目标读者理解信息系统的安全要求和信息系统的预期使用方法。ISST的信息系统描述应该包括信息系统使命措述,信息系统概要描述和信息系统详细描逐。
安全保障需求是信息系统所处环境的安全保障需求,即信息系统的预期使用方式,预期使用的环境范围和特征。安全环境详细描述了用于定义安全保障需求的假设,预期使用的范围,资产所面临的已知威胁以及信息系统必遵从的组织安全策略。3
KacaOiaiKAca-
GB/Z30286—2013
安全保障自的提供与安全保障需求相对应的符合性声明。详尽说明见第9章安全保障要求包括信息系统的安全技术保障要求、安全管理保障要求和安全工程保障要求,分别使用GB/T20274.2—2008.GB/T20274.3+-2008和GB/T20274.4—2008中的功能组件和保证组件来描述。详尽说明见第10章
ISPP应用注解是ISPP的可选部分,它提供了ISPP有用的附加信息。信息系统概要规范包括由信息系统提供的用于满足特定安全保障要求的安全功能,以及所有声明满足特定安全保障要求的安全保障措施。详尽说明见第11章。ISPP声明是ISST的可选部分,用于声明ISST遵从和满足的所有ISPP,以及对ISPP内容的补充或裁减。详尽说明见第12章。
4.3ISPP和ISST的目标读者
ISPP和ISST的目标读者主要包括:a)用户:用户需要了解遵从ISPP的信息系统应该采取哪些安全保障措施;b)开发者:开发者需要获得清晰的安全保障要求,以便去构建符合ISPP的信息系统;信息系统使用者:信息系统使用者(包括安装人员、管理员和运维人员)需要获得信息系统安全需求;
d评估者:ISPP或ISST评估者需要获得相关的证实ISPP或ISST技术正确性和有效性的信息。
ISPP或ISST的描述、信息系统描述、安全保障需求以及安全保障目的等部分主要针对用户和系统使用者。同时,信息系统开发者也应该认真了解安全保障需求和安全保障目的。ISPP中的安全保障要求部分,ISST中的信息系统概要规范部分主要针对信息系统的开发者、系统使用者和评估者。
5ISPP和ISST的产生过程
信息系统安全保障要求根本上来源于对信息系统的目的、环境及其本身的考虑。图1阐明了ISPP和ISST的产生过程。
在GB/T20274.1-2Q06附录A和附录B中,要求ISPP与ISST的编制应按逻辑题序以“自上而下\的方式进行。例如,ISPP的编制顺序是:a)定义安全保障需求;
b)确认与安全保障需求对应的安全保障目的e)定义满足安全保障目的的安全保障要求。ISPP与ISST的编制可能需要多次送代,从而反映信息系统内部或外部环境的产生的新需求。例如:
出现新的威胁:
组织安全策略发生变化;
信息系统的使命发生变化。
管理体系
确定信息系统TOE
倍息系统安全保障评估框架
婴求目录
管理要求
6ISPP和ISST的描述部分
6.1概述
业务体系
技术要求
确定安全目的
安全自的
确定安全要求
法建改策
工程要录
确定TOE概要规范
TOE要规范
组织环境
确定安全环境
组织安全策略
物理环境
环境要求
图1ISPP和ISST的产生过程
本章为规范ISPP和ISST的描述部分提供指南,即:a)ISPP和ISST标识;
b)ISPP和ISST概述
e)ISPP应用注解。
6.2ISPP和ISST标识
GB/Z30286—2013
安全环境
信息系统材料
SPP/ISST
安全日的材料
ISPP/iSST
安全要求材料
ISPP/ISST
安全规范材料
ISPP/ISST
ISPP或ISST标识部分应能提供足够的信息,唯一标识出ISPP或ISSTISPP或ISST标识部分至少包括具有唯一版本的ISPP或ISST名称,以及用于标识信息系统的内容(例如,信息系统的名称和版本号)。标识部分还需包括用于编制ISPP或ISST的GB/T20274.1—2006的版本信息,以便于版本控制、
6.3ISPP和ISST概述
根据GB/T20274.1一2006的要求,概述部分应概要性措述ISPP或ISST。该部分应包括ISPP或rKacadiaiKAca
GB/Z30286—2013
ISST所关注的、最主要的安全问题,作为编制者判断ISPP或ISST是否适合的依据,6.4ISPP应用注解
ISPP应用注解是ISPP中的可选项,可以自成一节,也可以将特定注释内容分散到ISPP的相应部分,例如与安全保障要求一起描述,ISPP应用注释的一个典型应用是提供如何在信息系统上下文中解释特定安全保障要求的说明,或ISST编制者的操作建议。如果ISPP应用注解被整合到整个ISPP中,建议清楚地标识出该应用注解,以使读者能够清楚地知道它是说明性的文本。7信息系统描述
7.1概述
本章为措述一个完整的信息系统提供指南。一个完整的信息系统描述应包括信息系统使命描述、信息系统概要措述和信息系统详细措述三部分。7.2信息系统使命描述
信息系统使命描述,即从目的和意义对信息系统进行高层描述,它是信息系统根本和本质的要求。7.3信息系统概要描述
信息系统概要描述是对信息系统进行概括性说明和描述,内容如下:信息系统:包括信息系统名称、所属的组织机构及其地点和最终用户及其地点等相关信息:a)
b)信息系统环境:捕述信息系统的运行、开发,集成和维护的环境;C)信息系统评估边界和接口:描送信息系统的边界和相应的外部接口,此描述建议采用图表和文字相结合的方式,清晰地描述和界定信息系统部件和边界:d)信息系统安全域:根据信息系统的重要性(描述信息系统的重要程度以及可接受的风险级别)、数据的分类和密级(措述信息系统所处理的数据类型和机密级别),以及系统用户(措述使用系统的用户》等方面划分系统的安全域。7.4信息系统详细描述
从管理体系、技术体系和业务体系分别对信息系统进行详细描述。a)管理体系:在管理体系中,需要对信息系统现有的组织结构、所使用的规章制度和所涉及的重要资产进行描述。
1)组织机构:描述同信息系统相关的管理/使用/开发/集成/支持等组织机构,特别是与安全保障管理相关的组织机构的措述:规章制度:列出目前使用的、同信息系统管理相关的规章制度2
资产:描述了信息系统的物理资产(信息系统中的各种硬件,软件和物理设施)和信息资产3)
(在信息系统计划组织、开发采购、实施交付、运行维护和皮弃生命周期过程中产生的、有价值的信息以及信息系统所存储、处理和传输的各种办公、管理和业务等信息)。b)技术体系:技术体系是信息系统描述的核心,对信息系统的应用、网络基础设施和技术标准进行描述。技术体系的描述为业务体系的描述提供支持。1)网络基础设施:描述信息系统的网络层次等网络体系结构;2)应用:措述信息系统应用的技术架构:3)技术标准:描述应用所采用的技术标准。c)业务体系:基于技术体系,业务体系对组织机构的主要业务进行分类和措述,并通过业务流程6
和业务信息流来进一步解释。
主要业务:列出组织机构的主要业务并进行描述:2)
业务流程:基于组织机构对主要业务的流程进行描述:GB/Z30286—2013
业务信息流:描述主要业务的接口和相应数据流,数据流描述应包括数据的类型以及数据传送的方式。
8安全保障需求
8.1概述
本章为定义在ISPP或ISST中描述信息系统的安全保障需求提供指南,这一部分内容的要求见GB/T20274.1-2006的A.2.4和B.2.4.定义安全保障需求首先应识别信息系统的安全环境,根据安全环境定义信息系统的安全保障需求,安全环境应描述信息系统的顶期使用方式以及使用的环境范翻和特征,安全环境描述应包括假设、威胁和组织安全策路,如图2所示。假设
组织安全策略
本章包括以下内容:
图2定义安全保障需求的过程
安全保障雷求
依据信息系统安全环境的假设,定义出“安全保障需求”的范围;a)
依据需要保护的系统资产,包括信息系统环境或信息系统本身典型的资产,以及已知的威胁b
主体和对系统资产的威:
c在处理安全保障需求时,必须服从的所有组织安全策略。8.2识别和说明假设
GB/T20274.1-2006要求ISPP或ISST的信息系统安全环境部分包括安全环境的假设或信息系统的预期用途。首先需要回答下面的问题:对于信息系统安全环境和安全保障需求范围,应做出什么假设?例如,可能需要给出几个假设来保证某个系统的潜在威胁实际上是与信息系统环境无关的。常用的假设类型:
a)有关信息系统预期用途的假设:b)信息系统任一部分的环境(例如,物理的)保护假设;e)连通性假设,例如信息系统与其他系统之间的网络连接点:d)人员方面的假设,例如预期的用户权限类型,他们的一般责任以及假设给予这些用户的信任度等。
e)通常情况下,不太可能一次就完全识别出所有假设,而应在ISPP或ISST的整个编制过程中iKacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准化指导性技术文件GB/Z30286-2013
信息安全技术
信息系统保护轮廓和信息系统安全目标产生指南
Information security technology-Guide for the production of information systemprotect profile and information system security target2013-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-07-15实施
规范性引用文件
3术语和定义
ISPP和ISST概述
ISPP和ISST的用途
ISPP和ISST的内容
ISPP和ISST的目标读者
5ISPP和ISST的产生过程
6ISPP和ISST的措述部分
ISPP和ISST标识
ISPP和ISST概述
ISPP应用注解
信息系统捷述
信息系统使命描述
信息系统概要描述
信息系统详细措述
安全保障需求
识别和说明假设
识别和说明威胁
识别和确定组织安全策略
明确安全保障需求定义…
安全保障目的·
概述...
威胁、假设和组织安全策略的列表信息系统环境保障目的
信息系统安全保障目的
10安全保障要求
安全技术保障要求
安全管理保障要求
............
GB/Z30286-2013
GB/Z30286-—2013
10.4ISPP或ISST中的安全工程保障要求11信息系统概要规范
信息系统概要规范概述
安全保障措施的选择
12ISPP声明
ISPP引用
ISPP裁剪
ISPP附加项
13符合性声明
安全保障目的的符合性声明
安全保障要求的符合性声明
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
参考文献…
从GB/T20274.2-2008选取STRs
从GB/T20274.3-2008选取SMRs
从GB/T20274.4—2008选取SERs
本指导性技术文件按照GB/T1.1-2009给出的规则起草。GB/Z30286—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本指导性技术文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本指导性技术文件主要起草单位:中国信息安全测评中心、中国信息安全测评中心华中测评中心,华北计算技术研究所,
本指导性技术文件主要起草人:江常青、张利、姚轶辨、修鑫、彭勇、陆丽、胡卫华、付敏、周瑾、-iiKacaQiaiKAca=
GB/Z30286—2013
本指导性技术文件是GB/T20274《信息安全技术信息系统安全保障评估框架》系列标准的配套指南文件,为信息系统保护轮廓(Information SystemProtectProfile,ISPP)和信息系统安全目标(InformationSystemSecurityTarget,ISST)的编制提供指导。本指导性技术文件的使用者应熟悉GB/T20274系列标准。N
1范围
信息安全技术
信息系统保护轮廓和信息系统安全目标产生指南
GB/Z30286—2013
本指导性技术文件给出了编制信息系统保护轮廊(ISPP)和信息系统安全目标(ISST)的过程,为编写ISPP和ISST提供指导。
本指导性技术文件适用于应用GB/工20274系列标准进行信息系统安全性保障评估的评估者和确认评估者行为的认证者、系统开发者等。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型GB/T20274.2—2008
GB/T20274.3—2008
信息安全技术
信息安全技术
GB/T20274.4-2008信息安全技术信息系统安全保障评估框架第2部分:技术保障信息系统安全保障评估框架第3部分:管理保障信息系统安全保障评估框架第4部分:工程保障GB/T209842007
信息安全技术信息安全风险评估规范3术语和定义
GB/T20274.12006.GB/T20274.22008.GB/T20274.3-2008.GB/T20274.4—-2008界定的术语和定义适用于本文件
4ISPP和ISST概述
4.1ISPP和ISST的用途
GB/T20274系列标准的主要用途是表达信息系统的安全保障要求。信息系统有许多不同的种类,每个信息系统运行于特定的现实环境中,受到来自于组织内部与外部环境的约束。因此对于不同的信息系统,通常有不同的安全保障要求GB/T20274.1一2006中用ISPP和ISST来表达某一类信息系统和某一个特定信息系统的安全保障要求。信息系统的所有者运用ISPP来描述某一类信息系统标准化、结构化和规范化的安全保障需求,信息系统的开发者依据ISPP针对特定的信息系统编制相应的ISST,描述其特定用户系统的安全保障需求以及对ISPP的满足情况。4.2ISPP和ISST的内容
GB/T20274.1一2006的图A.1描了ISPP中所要求的内容条目。表1是推荐使用的ISPP样本iiKacaQiaiKAca-
GB/Z30286-2013
目录清单结构。GB/T20274.1-2006的图B.1中描述了ISST所要求的内容条日。表2是推荐使用的ISST样本目录清单结构。
表1安全保护轮廓样本目录清单
ISPP描述
1.1ISPP标识
1.2.1SPP概述
信息系统描述
2.1信息系统使命描述
2.2信息系统概要描述
2.3信息系统详细捕述
安全保障需求
3.1识别和说明假设
3.2识别和说明威
3.3识别和确定组织安全策略
安全保障目的
4,1信息系统安全技术保障目的
4.2信息系统安全管理保障目的
4.3信息系统安全工程保障目的
安全保障要求
5.1信息系统安全保障要求
5.2信息系统安全技术保障要求
5.3信息系统安全管理保障要求
5.4信息系统安全工程保障要求免费标准下载网bzxz
ISPP应用注解
符合性声
7.1安全目的符合性声明
7.2安全要求符合性声明
目录结构
表2安全目标样本目录清单
日录结构
ISST播述
1.1ISST标识
1.2ISST概述
信息系统描述
2.1信息系统使命描述
2.2信息系统概要描述
2.3信息系统详细描述
安全保障需求
3.1识别和说明假设
3.2识别和说期戏助
表2(续)
日录结构
.3识别和确定组织安全策路
安全保障目的
4.1信息系统安全技术保障日的
4.2信息系统安全管理保障日的
4.3信息系统安全工程保障目的
安全保障要求
5.1信息系统安全保障要求
5.2信息系统安全技术保障要求
5.3信息系统安全管理保障要求
5.4信息系统安全工程保障要求
信息系统概要规范
6.1信息系统安全保障要求
6.2信息系统安全技术保障
6.3信息系统安全管理保障
6.4信息系统安全工程保障
ISPP声明
7.1ISPP引用
7.2ISPP剪载
7.3ISPP附加项
符合性声明
8.1安全日的符合性声明
8.2安全要求符合性声明
GB/Z30286—2013
ISPP或ISST的描述部分标识了ISPP或ISST的信息系统,并概要描述了ISPP或ISST,ISPP概述可以被ISPP文档的编目和注册引用。信息系统描述提供了信息系统(或信息系统类型)的一般信息,帮助目标读者理解信息系统的安全要求和信息系统的预期使用方法。ISST的信息系统描述应该包括信息系统使命措述,信息系统概要描述和信息系统详细描逐。
安全保障需求是信息系统所处环境的安全保障需求,即信息系统的预期使用方式,预期使用的环境范围和特征。安全环境详细描述了用于定义安全保障需求的假设,预期使用的范围,资产所面临的已知威胁以及信息系统必遵从的组织安全策略。3
KacaOiaiKAca-
GB/Z30286—2013
安全保障自的提供与安全保障需求相对应的符合性声明。详尽说明见第9章安全保障要求包括信息系统的安全技术保障要求、安全管理保障要求和安全工程保障要求,分别使用GB/T20274.2—2008.GB/T20274.3+-2008和GB/T20274.4—2008中的功能组件和保证组件来描述。详尽说明见第10章
ISPP应用注解是ISPP的可选部分,它提供了ISPP有用的附加信息。信息系统概要规范包括由信息系统提供的用于满足特定安全保障要求的安全功能,以及所有声明满足特定安全保障要求的安全保障措施。详尽说明见第11章。ISPP声明是ISST的可选部分,用于声明ISST遵从和满足的所有ISPP,以及对ISPP内容的补充或裁减。详尽说明见第12章。
4.3ISPP和ISST的目标读者
ISPP和ISST的目标读者主要包括:a)用户:用户需要了解遵从ISPP的信息系统应该采取哪些安全保障措施;b)开发者:开发者需要获得清晰的安全保障要求,以便去构建符合ISPP的信息系统;信息系统使用者:信息系统使用者(包括安装人员、管理员和运维人员)需要获得信息系统安全需求;
d评估者:ISPP或ISST评估者需要获得相关的证实ISPP或ISST技术正确性和有效性的信息。
ISPP或ISST的描述、信息系统描述、安全保障需求以及安全保障目的等部分主要针对用户和系统使用者。同时,信息系统开发者也应该认真了解安全保障需求和安全保障目的。ISPP中的安全保障要求部分,ISST中的信息系统概要规范部分主要针对信息系统的开发者、系统使用者和评估者。
5ISPP和ISST的产生过程
信息系统安全保障要求根本上来源于对信息系统的目的、环境及其本身的考虑。图1阐明了ISPP和ISST的产生过程。
在GB/T20274.1-2Q06附录A和附录B中,要求ISPP与ISST的编制应按逻辑题序以“自上而下\的方式进行。例如,ISPP的编制顺序是:a)定义安全保障需求;
b)确认与安全保障需求对应的安全保障目的e)定义满足安全保障目的的安全保障要求。ISPP与ISST的编制可能需要多次送代,从而反映信息系统内部或外部环境的产生的新需求。例如:
出现新的威胁:
组织安全策略发生变化;
信息系统的使命发生变化。
管理体系
确定信息系统TOE
倍息系统安全保障评估框架
婴求目录
管理要求
6ISPP和ISST的描述部分
6.1概述
业务体系
技术要求
确定安全目的
安全自的
确定安全要求
法建改策
工程要录
确定TOE概要规范
TOE要规范
组织环境
确定安全环境
组织安全策略
物理环境
环境要求
图1ISPP和ISST的产生过程
本章为规范ISPP和ISST的描述部分提供指南,即:a)ISPP和ISST标识;
b)ISPP和ISST概述
e)ISPP应用注解。
6.2ISPP和ISST标识
GB/Z30286—2013
安全环境
信息系统材料
SPP/ISST
安全日的材料
ISPP/iSST
安全要求材料
ISPP/ISST
安全规范材料
ISPP/ISST
ISPP或ISST标识部分应能提供足够的信息,唯一标识出ISPP或ISSTISPP或ISST标识部分至少包括具有唯一版本的ISPP或ISST名称,以及用于标识信息系统的内容(例如,信息系统的名称和版本号)。标识部分还需包括用于编制ISPP或ISST的GB/T20274.1—2006的版本信息,以便于版本控制、
6.3ISPP和ISST概述
根据GB/T20274.1一2006的要求,概述部分应概要性措述ISPP或ISST。该部分应包括ISPP或rKacadiaiKAca
GB/Z30286—2013
ISST所关注的、最主要的安全问题,作为编制者判断ISPP或ISST是否适合的依据,6.4ISPP应用注解
ISPP应用注解是ISPP中的可选项,可以自成一节,也可以将特定注释内容分散到ISPP的相应部分,例如与安全保障要求一起描述,ISPP应用注释的一个典型应用是提供如何在信息系统上下文中解释特定安全保障要求的说明,或ISST编制者的操作建议。如果ISPP应用注解被整合到整个ISPP中,建议清楚地标识出该应用注解,以使读者能够清楚地知道它是说明性的文本。7信息系统描述
7.1概述
本章为措述一个完整的信息系统提供指南。一个完整的信息系统描述应包括信息系统使命描述、信息系统概要措述和信息系统详细措述三部分。7.2信息系统使命描述
信息系统使命描述,即从目的和意义对信息系统进行高层描述,它是信息系统根本和本质的要求。7.3信息系统概要描述
信息系统概要描述是对信息系统进行概括性说明和描述,内容如下:信息系统:包括信息系统名称、所属的组织机构及其地点和最终用户及其地点等相关信息:a)
b)信息系统环境:捕述信息系统的运行、开发,集成和维护的环境;C)信息系统评估边界和接口:描送信息系统的边界和相应的外部接口,此描述建议采用图表和文字相结合的方式,清晰地描述和界定信息系统部件和边界:d)信息系统安全域:根据信息系统的重要性(描述信息系统的重要程度以及可接受的风险级别)、数据的分类和密级(措述信息系统所处理的数据类型和机密级别),以及系统用户(措述使用系统的用户》等方面划分系统的安全域。7.4信息系统详细描述
从管理体系、技术体系和业务体系分别对信息系统进行详细描述。a)管理体系:在管理体系中,需要对信息系统现有的组织结构、所使用的规章制度和所涉及的重要资产进行描述。
1)组织机构:描述同信息系统相关的管理/使用/开发/集成/支持等组织机构,特别是与安全保障管理相关的组织机构的措述:规章制度:列出目前使用的、同信息系统管理相关的规章制度2
资产:描述了信息系统的物理资产(信息系统中的各种硬件,软件和物理设施)和信息资产3)
(在信息系统计划组织、开发采购、实施交付、运行维护和皮弃生命周期过程中产生的、有价值的信息以及信息系统所存储、处理和传输的各种办公、管理和业务等信息)。b)技术体系:技术体系是信息系统描述的核心,对信息系统的应用、网络基础设施和技术标准进行描述。技术体系的描述为业务体系的描述提供支持。1)网络基础设施:描述信息系统的网络层次等网络体系结构;2)应用:措述信息系统应用的技术架构:3)技术标准:描述应用所采用的技术标准。c)业务体系:基于技术体系,业务体系对组织机构的主要业务进行分类和措述,并通过业务流程6
和业务信息流来进一步解释。
主要业务:列出组织机构的主要业务并进行描述:2)
业务流程:基于组织机构对主要业务的流程进行描述:GB/Z30286—2013
业务信息流:描述主要业务的接口和相应数据流,数据流描述应包括数据的类型以及数据传送的方式。
8安全保障需求
8.1概述
本章为定义在ISPP或ISST中描述信息系统的安全保障需求提供指南,这一部分内容的要求见GB/T20274.1-2006的A.2.4和B.2.4.定义安全保障需求首先应识别信息系统的安全环境,根据安全环境定义信息系统的安全保障需求,安全环境应描述信息系统的顶期使用方式以及使用的环境范翻和特征,安全环境描述应包括假设、威胁和组织安全策路,如图2所示。假设
组织安全策略
本章包括以下内容:
图2定义安全保障需求的过程
安全保障雷求
依据信息系统安全环境的假设,定义出“安全保障需求”的范围;a)
依据需要保护的系统资产,包括信息系统环境或信息系统本身典型的资产,以及已知的威胁b
主体和对系统资产的威:
c在处理安全保障需求时,必须服从的所有组织安全策略。8.2识别和说明假设
GB/T20274.1-2006要求ISPP或ISST的信息系统安全环境部分包括安全环境的假设或信息系统的预期用途。首先需要回答下面的问题:对于信息系统安全环境和安全保障需求范围,应做出什么假设?例如,可能需要给出几个假设来保证某个系统的潜在威胁实际上是与信息系统环境无关的。常用的假设类型:
a)有关信息系统预期用途的假设:b)信息系统任一部分的环境(例如,物理的)保护假设;e)连通性假设,例如信息系统与其他系统之间的网络连接点:d)人员方面的假设,例如预期的用户权限类型,他们的一般责任以及假设给予这些用户的信任度等。
e)通常情况下,不太可能一次就完全识别出所有假设,而应在ISPP或ISST的整个编制过程中iKacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。